📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

🛡Злоумышленники активно ищут и эксплуатируют уязвимости не только в широко распространенных продуктах, но и в менее известных программных решениях.

Согласно свежему исследованию Instinkt Group в первой половине 2025 года были проэксплуатированы уязвимости 81 вендора ПО. Хотя, продукты Microsoft доминировали по количеству эксплуатируемых уязвимостей, авторы подчеркивают, что всё чаще злоумышленники целенаправленно ищут уязвимости в менее популярных и менее распространенных продуктах, предполагая, что организации могут откладывать установку исправлений или не покрывать мониторингом такие системы и ПО.

Другие выводы и показатели за первое полугодие 2025:
➡️Активно эксплуатировались 161 уязвимость, причем 42% из них имели общедоступные PoC.
➡️69% эксплуатируемых уязвимостей не требовали аутентификации, а почти одна треть позволяла удаленное выполнение кода (RCE).
➡️17% эксплуатируемых уязвимостей относились к продуктам Microsoft, и столько же — к периметровым сетевым устройствам (SSL-VPN, firewalls, Citrix, Palo Alto, Fortinet, Ivanti и т.д.).
➡️Самые распространённые дефекты CWE — Cross-Site Scripting (CWE-79), SQL Injection (CWE-89), а также Cross-Site Request Forgery (CWE-352), generic Injection flaws (CWE-74), и Missing Authorization (CWE-862).
➡️151 из 161 эксплуатированной уязвимости применялись для развертывания вредоносного ПО, а 73 — для установки программ-вымогателей.

p.s. Так как Instinkt Group является подразделением Recorded Future, то на всякий случай напоминаю, что данная организация признана на территории РФ нежелательной🤷‍♂️

#cve #trends #prioritization #cwe #vm

Набрел на пару интересных ресурсов на тему фишинговых атак ClickFix:
1️⃣ClickGrab Threat Intelligence — небольшой TI-портал, собирающий информацию о вредоносных ресурсах, подготовленных для атак типа ClickFix, а также инструмент для определения вредоносных сайтов, описание используемых злоумышленниками техник и набор рекомендаций и полезных ресурсов.
2️⃣ClickFix Attack Educator — представляет собой интерактивный мини-симулятор, наглядно демонстрирующий на трех кейсах как работает данный тип атаки, а также набор памяток и чек-листов о том как распознать и как действовать.
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции🙂

#phishing #clickfix #ti #report #awareness

🗂Матрица техник злоумышленников, направленных на эксплуатацию человеческого фактора.

Human Threat Map – интересный проект, представляющий собой структурированную карту методов, с помощью которых злоумышленники эксплуатируют человеческие слабости👨‍💻
Выглядит всё это как MITRE-подобная матрица:
🔗более 80 техник разбиты на 9 тактик (этапов атаки).
🔗техники можно сгруппировать по доменам безопасности.
🔗для каждой техники есть описание, сценарии человеческого поведения/рисков, которые способствуют возникновению угрозы, а также ссылки на ресурсы с описанием реальных инцидентов, связанных с этими угрозами.

Пробежавшись по техникам, можно оценить на сколько хорошо вы покрываете организационными и техническими мерами конкретные сценарии эксплуатации человеческого фактора, выявить актуальные векторы атак, создать соответствующие сценарии обучения и приоритизировать защитные меры.
Подробнее о проекте можно почитать в блоге авторов ресурса.

#awareness #framework #threat #mitre #ttp #hrm #human #risk

🗂 В продолжение темы сценариев поведения пользователей из матрицы Human Threat Map нельзя не упомянуть проект SebDB — открытую базу безопасных действий пользователей, снижающих риски информационной безопасности.

В реестре SebDB более сотни паттернов поведения, классифицированных по доменам безопасности, степени влияния на риск и возможному негативному эффекту (например, финансовые потери) при нарушении правила. Каждое безопасное действие привязано к тактикам злоумышленников из матрицы MITRE ATT&CK и к функциям фреймворка NIST CSF, что позволяет понять, от каких угроз и на каком этапе защищает то или иное поведение. База доступна публично, периодически обновляется и всю информацию можно скачать в эксельке.

Оба проекта можно использовать совместно для совершенствования процесса повышения осведомленности и лучше интегрировать его в смежные процессы ИБ.

#awareness #framework #threat #mitre #ttp #hrm #human #risk